Редактирование этого файла напрямую
/etc/sysconfig/iptables
может сэкономить мне столько головной боли, так много времени и так далее ...
и все же в самом верху файла написано ..
Manual customization of this file is not recommended.
Вот файл / etc / sysconfig / iptables, который только что поставляется с новым облачным сервером centos 6.4.
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
чтобы открыть порт 80 я могу просто клонировать линию ..
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
затем измените «22» на «80», затем сохраните этот файл и перезагрузите всю систему.
это откроет порт 80 для меня.
это довольно простая операция. и все же файл говорит, что ручное редактирование не рекомендуется.
почему я должен следовать совету?
system-config-firewall
инструмента. Можете ли вы рассказать, почему плохо редактировать файл вместо использования инструмента?Хм, это странно. В верхней части шахты написано:
Кто-то, должно быть, изменил это;) И фактически даже переместил это из
/etc/sysconfig
так, чтобы это не получило "автоматическую кастомизацию" менеджером пакетов или чем-то еще;);)Я думаю, что здесь, в общем, с такими файлами конфигурации, если вы не знаете, что делаете, не делайте этого. Иногда также появляется предупреждение о том, что файл иногда перезаписывается системой. Это может быть сделано менеджером пакетов при обновлении - хотя иногда премьер-министр будет замечать, что файл был изменен вручную, а не перезаписывать его или сохранять копию и т. Д. - и это может быть какой-то другой инструмент, который отвечает за эту конфигурацию в в частности (см . ответ nwildner ).
Часть «знания того, что вы делаете» - это осознание таких углов. Я также настроил службу инициализации для iptables, чтобы использовать другое местоположение для файла конфигурации, и самое главное: я единственный, кто использует этот компьютер.
Предполагая, что есть другие люди с root-доступом, я бы не стал делать это на сервере, за который я отвечаю, если бы не было более веской причины, чем «Я предпочитаю это так», потому что это может привести к путанице и вызвать головную боль у кого-то другого. в какой-то момент. Но если вы единственный пользователь, и никто не зависит от системы, тогда вы можете делать то, что хотите. Мой «предпочтительный метод» для настройки брандмауэра выглядит так:
/etc/iptables.current
создается при загрузке путем копирования/etc/iptables
(который изначально настроен для службы iptables). Таким образом, я могу изменять вещи на лету, сохраняя контрольную точку, с которой начинается система.Что приводит нас к важному моменту, если вы действительно хотите дурачиться с конфигурациями, которые содержат такого рода предупреждение: всегда сначала создавайте резервную копию оригинала.
источник